Abweichende Ports für IPsec VPN oder IPsec hinter reverse Proxy?

Simon · 16. Dezember 2023 um 21:40

Folgende Anforderungen: (Potentiell verschiedene) Menschen möchten am TH Fritzboxen mit IPsec¹ VPN-Endpoints betreiben um von außen auf ihre HW zuzugreifen. Ich muss daher den Traffic von außen durch die OPNsense FW des TH durch bringen. Ich sehe zwei Möglichkeiten:

NAT Port Forwarding mit individuellen (nicht-Standard-Ports) um mehrere Fritzbox-Endpoints zu ermöglichen
ngninx Reverse Proxy mittels SNI um mehrere Fritzbox-Endpoints zu ermöglichen

Portforwarding mit abweichenden Ports klappt leider nicht (VPN–Client von außen bekommt keine Antwort) obwohl das vielleicht gehen sollte: https://docs.fortinet.com/document/fortigate/7.0.0/new-features/33578/configurable-ike-port Und ein nginx Reverse Proxy scheint auch nicht (so einfach) zu klappen: https://github.com/hwdsl2/setup-ipsec-vpn/issues/596

Hat jemand Erfahrung mit dem Setup und kann mir einen Tipp geben, oder gibt es andere Ideen?

¹Wireguard, OpenVPN, oä wird von der Fritzbox nicht unterstützt.

iromeister · 17. Dezember 2023 um 15:04

Neuere Fritzboxen können Wireguard: https://avm.de/aktuelles/2022/wireguard-vpn-war-nie-so-einfach/

Simon · 17. Dezember 2023 um 15:19

Ich weiß, daher schrieb ich ja extra, dass die (verwendete) Fritzbox es nicht kann…

Lennart · 18. Dezember 2023 um 17:55

Und VPN zentral anzubieten ist keine Option? So läuft’s bei uns, wir bieten IPSec und OpenVPN an.

Simon · 18. Dezember 2023 um 18:27

doch OpenVPN betreiben wir auch zentral. Betroffener User betreibt jedoch seinen Server hinter einer Fritzbox bei uns im Netz, weil die gleichzeitig (andersherum) ein Site-to-Site-VPN zu einem externen Büro herstellt. Ob ich jetzt zwei VPNs verschachteln kann und das dann noch stabil läuft, weiß ich nicht. Erschien mir einfacher sein VPN bei uns durch die FW zu tunneln.

Dennis · 27. Februar 2024 um 22:16

Guck mal ob dir evtl. sshuttle weiterhelfen kann